L’adozione di sistemi di cybersicurezza avanzati non è più solo una scelta strategica ma spesso un vero e proprio obbligo a cui sono soggette le realtà aziendali. Tuttavia, strumenti come i SIEM, le soluzioni XDR e, ancor più, gli UEBA sollevano criticità rilevanti in termini di protezione dei dati e diritto del lavoro.
È fondamentale quindi un approccio multidisciplinare che combini valutazioni strettamente informatiche e giuridiche per implementare un sistema compliant, a tutela sia della sicurezza dell’azienda che dei diritti e delle libertà dei dipendenti.
Indice degli argomenti
Lo scenario attuale
Nell’attuale contesto segnato dal progressivo incremento delle minacce informatiche, un numero crescente di imprese sta potenziando le proprie strategie per contrastare offensive sempre più evolute e sofisticate, minimizzare i rischi e consolidare i propri sistemi di difesa. La nuova sfida è quella di anticipare le minacce, implementando strategie di sicurezza informatica proattiva che, tramite tecnologie avanzate come l’Intelligenza Artificiale e l’apprendimento automatico, prevedono il monitoraggio continuo dell’organizzazione di appartenenza per rilevare potenziali minacce e vulnerabilità, consentendo risposte immediate alle minacce emergenti.
Sistemi di sicurezza informatica avanzati e il tracciamento degli utenti
Tra i vari sistemi di prevenzione e sicurezza per proteggere le reti e le infrastrutture vi rientrano gli strumenti che permettono il monitoraggio e il tracciamento delle azioni degli utenti per prevenire minacce o per rilevare account compromessi.
In questa categoria rientrano, ad esempio, i sistemi UEBA (User and Entity Behavior Analytics), soluzioni di cybersecurity che utilizzano algoritmi di Intelligenza Artificiale e Machine Learning per analizzare i comportamenti degli utenti, stabilirne un pattern comportamentale “normale” e rilevare attività anomale da parte di utenti e dispositivi quali, ad esempio, router, server ed endpoint.
A questi si aggiungono i SIEM (Security Information and Event Management), una sorta di “cervelloni” centrali che raccolgono, normalizzano e analizzano in tempo reale i dati di log e gli eventi generati da tutti i dispositivi e applicazioni all’interno dell’infrastruttura, identificando anche qui attacchi complessi.
Completano il quadro le soluzioni XDR (Extended Detection and Response) che consentono di individuare minacce informatiche nell’intera azienda, basandosi principalmente sull’Intelligenza Artificiale per monitorare i sistemi in modo multilevel, individuare comportamenti anomali, correlare gli incidenti e segnalarli al team di sicurezza.
L’implementazione di queste soluzioni richiede necessariamente una serie di valutazioni preventive a più ampio respiro che vadano oltre all’aspetto squisitamente informatico.
Raccogliendo e analizzando i dati di comportamento degli utenti nella rete o nell’infrastruttura aziendale (i log e gli eventi generati dagli utenti), tali sistemi comportano infatti il trattamento di grandi moli di dati personali dei dipendenti, categoria di interessati ritenuta meritevole di un livello di tutela rafforzato.
Implementazione SIEM XDR UEBA GDPR: roadmap tra LIA, DPIA e informative
La sinergia tra CISO, IT manager e DPO appare fondamentale per impostare questi sistemi di sicurezza avanzata nel rispetto del panorama normativo di riferimento, nell’equo contemperamento degli interessi di sicurezza e protezione dei dati personali.
È indiscusso, infatti, che sistemi di questo tipo, prevedendo il tracciamento del comportamento dei dipendenti nella rete durante lo svolgimento dell’attività lavorativa, impongono all’azienda, titolare del trattamento dei dati, una serie di passaggi obbligati per valutare il trattamento e le finalità e analizzarne i rischi, nel rispetto del principio di trasparenza verso i lavoratori.
Finalità e base giuridica
Per quanto riguarda la finalità e la base giuridica del trattamento, i sistemi sopra descritti devono essere finalizzati alla tutela della sicurezza e del patrimonio informativo aziendale, e non al controllo dell’attività lavorativa del dipendente.
La base giuridica più solida in questo contesto è data dal perseguimento del legittimo interesse del titolare del trattamento (si veda art. 6, paragrafo 1, lettera f) GDPR), supportato dal Considerando 49 GDPR che qualifica espressamente la sicurezza delle reti e delle informazioni come un interesse legittimo.
Il legittimo interesse, ai fini dell’accountability, è opportuno che sia descritto e giustificato nella LIA (Legitimate Interest Assessment), un documento formale nel quale il titolare del trattamento dà atto del processo di valutazione e di bilanciamento tra l’interesse del titolare e l’interesse, i diritti e le libertà degli interessati.
DPIA obbligatoria: IA, monitoraggio e vulnerabilità nel rapporto di lavoro
I trattamenti correlati all’utilizzo di questi sistemi, in ragione delle tecnologie avanzate (IA e Machine Learning), del possibile monitoraggio dell’attività dei dipendenti nelle reti aziendali per identificare anomalie e della particolare vulnerabilità degli interessati nel contesto lavorativo, necessitano obbligatoriamente dell’esecuzione di una valutazione d’impatto (DPIA) ai sensi dell’art. 35 GDPR.
Ricorrendovi tre criteri (in particolare il numero 3, 7 e 8) delle Linee Guida WP 248 del 4 aprile 2017, si vedano anche le chiare indicazioni del Garante per la Protezione dei Dati Personali di cui al Provvedimento 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1, che espressamente menziona come soggetti a DPIA i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici […] dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”.
Privacy by design e by default, le applicazioni
La configurazione dei sistemi deve essere effettuata nel rispetto dei principi fondamentali di privacy by design e by default, posto che l’esigenza di sicurezza non deve tradursi in un tracciamento indiscriminato delle azioni degli utenti.
È fondamentale quindi che i principi di liceità, minimizzazione, limitazione e conservazione trovino corrispondenza nei corretti settaggi e nelle adeguate misure di sicurezza tecniche ed organizzative.
Misure quali la pseudonimizzazione, in modo che siano visibili gli ID anonimizzati e non il nome e cognome in chiaro del dipendente, con possibilità di risalire all’identità della persona solo al verificarsi di determinate circostanze (es. incidenti effettivi conclamati), la cifratura dei dati, la raccolta dei soli log necessari alla sicurezza, l’impostazione di un periodo di conservazione dei dati congruo rispetto alla finalità.
Ancora, è fondamentale che sia limitata l’accessibilità dei dati solo ad un numero ristretto di soggetti selezionati ed autorizzati con specifico atto di nomina contenente chiare istruzioni, la designazione degli Amministratori di Sistema così come la definizione dei ruoli di eventuali fornitori esterni, procedendo con le opportune nomine a responsabile del trattamento ai sensi dell’art. 28 GDPR.
Queste sono solo alcune delle misure di sicurezza che il titolare del trattamento deve implementare per assicurarsi la compliance GDPR dei sistemi, nella consapevolezza che, quantomeno per alcuni aspetti (es. la data retention), si dipenda anche dalle impostazioni dei fornitori dei software.
Trasparenza e policy aziendali per l’uso di SIEM, XDR e UEBA
I dipendenti non possono essere sottoposti a sistemi di tracciamento a loro insaputa, neanche per finalità di cybersecurity.
L’azienda deve pertanto informare i dipendenti tramite informative specifiche e regolamenti sugli strumenti informatici, i quali dovranno essere integrati dando chiara evidenza delle tipologie di sistemi attivi, rendendo tutte le informazioni richieste dall’art. 13 GDPR.
Il rispetto dell’articolo 4 dello Statuto dei lavoratori
I sistemi sopra descritti, permettendo la generalizzata raccolta e la conservazione dei log e degli eventi generati dalle azioni degli utenti, per un lasso di tempo più o meno esteso, possono comportare un indiretto controllo a distanza dell’attività dei lavoratori, anche in presenza di esigenze comunque riconducibili alla sicurezza e alla tutela del patrimonio.
Il rispetto delle prescrizioni dell’art. 4 dello Statuto dei lavoratori è dunque d’obbligo, tenendo in considerazione che, non rientrando questi sistemi in quelli necessari al funzionamento delle infrastrutture dei sistemi e alle più essenziali esigenze di sicurezza informatica, si è al di fuori dell’eccezione del secondo comma dell’art. 4, trovando invece applicazione la regola generale prevista dal comma 1.
Per poter legittimamente utilizzare questi sistemi è necessario, quindi, ottenere il preventivo accordo con la rappresentanza sindacale unitaria o con le rappresentanze sindacali aziendali, o, in difetto di accordo, ottenere l’autorizzazione della sede territoriale competente dell’Ispettorato Nazionale del Lavoro.
Onere informativo, cosa comporta
A questo si aggiunge naturalmente l’onere informativo verso i dipendenti circa le funzionalità dei sistemi e sui possibili controlli da parte del datore di lavoro, nel rispetto della normativa sulla protezione dei dati, obbligo che si traduce nel rendere policy informative che assumono la duplice finalità non solo di rispettare i principi di liceità, correttezza e trasparenza, ma anche di legittimare i possibili controlli da parte del datore di lavoro.
Le conseguenze per il datore di lavoro
Questi aspetti, spesso disattesi, non devono essere sottovalutati perché possono esporre il datore di lavoro a molteplici conseguenze, su fronti diversi.
In primo luogo, giova ricordare che l’installazione di sistemi di controllo dei dipendenti senza aver esperito le procedure previste dall’art. 4 dello Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ITL) configura un reato sanzionabile per effetto del combinato disposto dell’art. 171 d.lgs. 196/2003 e dell’art. 38 Statuto dei lavoratori.
Ancora, la violazione delle garanzie dell’art. 4 Statuto dei lavoratori configura una violazione del Regolamento UE 679/19 con conseguenti possibili sanzioni, anche pecuniarie, da parte del Garante per la protezione dei dati personali.
Oltre a questi aspetti, di assoluta rilevanza, non bisogna sottovalutare quella che è la conseguenza generalmente più onerosa per i datori di lavoro dal punto di vista economico e operativo.
Qualsiasi informazione raccolta illegalmente in violazione dell’articolo 4 dello Statuto dei lavoratori (e quindi anche in caso di omessa informativa al dipendente) non può essere utilizzata come prova in un procedimento disciplinare, fatta eccezione per i c.d. controlli difensivi in senso stretto che riguardano controlli ex post sul presupposto del fondato sospetto della commissione da parte del lavoratore di un illecito (es. furto di dati aziendali).
Quando un licenziamento può essere annullato
Questo vuol dire che un eventuale licenziamento basato su dati raccolti in violazione dell’art. 4 può essere annullato, con reintegra sul posto di lavoro e condanna al risarcimento danni nei confronti del lavoratore.
Tutti questi aspetti sono stati ben analizzati dall’Autorità Garante nel provvedimento n. 10134221 del 29.04.2025 relativo alla raccolta dei metadati di posta elettronica e dei log di navigazione in Internet dei dipendenti, trattamenti che presentano forti analogie con quelli oggetto del presente contributo.
Il provvedimento è di particolare rilievo in quanto effettua un excursus ragionato sulle finalità dei trattamenti e degli adempimenti necessari sia dal punto di vista della protezione dati che della normativa giuslavoristica, spingendosi a declinare anche le misure di sicurezza che il titolare del trattamento dovrebbe implementare, di cui si consiglia caldamente la lettura.
Perché sicurezza e diritti devono avanzare insieme
L’implementazione di tecnologie avanzate rappresenta oggi un paradosso normativo: da un lato, sono strumenti indispensabili per adempiere all’obbligo di sicurezza sancito dal GDPR e da altre normative di settore (si vedano ad esempio gli obblighi imposti dalla Direttiva NIS2); dall’altro, se mal gestiti, rischiano di violare le fondamenta stesse della protezione dei dati e dello Statuto dei lavoratori.
L’acquisto della migliore soluzione tecnologica sul mercato non è sufficiente in assenza di una sinergia tra dipartimento IT, DPO e Risorse Umane, con un approccio proattivo e multidisciplinare nel quale la tutela del patrimonio informativo e della dignità e della riservatezza delle persone vanno di pari passo.
Note
Questi argomenti sono stati oggetto di approfondimento e dibattito nel corso del DIGEAT Festival, il festival su protezione dati, archivi digitali, IA e regole del futuro organizzato da Digitalaw e tenutosi a Lecce nelle giornate del 27, 28 e 29 novembre 2025, in particolare nel panel “La cybersecurity e le nuove sfide dell’IA”, a cui l’autrice ha partecipato come speaker insieme ad altri relatori.
